LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-359-1 mysql-5.1

Bulletin d'alerte Debian

DLA-359-1 mysql-5.1 -- Ajout des paquets MySQL 5.5 ; fin de prise en charge pour MySQL 5.1

Date du rapport :

16 décembre 2015

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-0499, CVE-2015-0501, CVE-2015-0505, CVE-2015-2568, CVE-2015-2571, CVE-2015-2573, CVE-2015-4752, CVE-2015-4737, CVE-2015-2648, CVE-2015-2643, CVE-2015-2620, CVE-2015-2582, CVE-2015-4792, CVE-2015-4802, CVE-2015-4815, CVE-2015-4816, CVE-2015-4819, CVE-2015-4826, CVE-2015-4830, CVE-2015-4836, CVE-2015-4858, CVE-2015-4861, CVE-2015-4870, CVE-2015-4879, CVE-2015-4913.

Plus de précisions :

Oracle, le responsable amont de MySQL, ne prend plus en compte la version 5.1 de MySQL, qui est incluse dans Debian 6.0 Squeeze. Vraisemblablement MySQL 5.1 souffre de multiples vulnérabilités corrigées dans des versions plus récentes après la fin de la prise en charge amont, mais Oracle ne divulgue pas suffisamment d'informations pour vérifier ou corriger ces vulnérabilités.

Comme alternative, l'équipe Debian LTS fournit des paquets MySQL 5.5 à utiliser dans Debian 6.0 Squeeze. Nous recommandons aux utilisateurs de Squeeze LTS de les installer et de migrer leurs bases de données.

Veuillez noter qu'un « dist-upgrade » ne tiendra pas compte de ces paquets MySQL 5.5 automatiquement, donc les utilisateurs doivent les installer explicitement.

Si vous utilisez un serveur MySQL :

apt-get install mysql-server-5.5

Si vous voulez seulement le client MySQL :

apt-get install mysql-client-5.5

Mises à jour pour compatibilité

Certains paquets ont été mis à jour pour résoudre des problèmes d'incompatibilité. Ils ont été corrigés dans les versions suivantes :

• bacula-director-mysql 5.0.2-2.2+squeeze2
• cacti 0.8.7g-1+squeeze9
• phpmyadmin 4:3.3.7-10
• postfix-policyd 1.82-2+deb6u1
• prelude-manager 1.0.0-1+deb6u1

Nous vous recommandons de mettre à niveau ces paquets avant la mise à niveau de MySQL 5.5. Un simple « dist-upgrade » devrait suffire.

Nous avons fait au mieux pour fournir des paquets MySQL 5.5 fiables. Des paquets de test ont été disponibles pendant un certain temps, mais nous n'avons pas reçu de retour des utilisateurs. En tout cas, n'hésitez pas à rapporter tout problème lié à cette mise à niveau de MySQL à debian-lts@lists.debian.org.